Administrar Windows Server 2019 en un entorno de Microsoft Entra Domain Services

  • 8 minutos

Microsoft Entra Domain Services proporciona un dominio administrado para que lo consuman usuarios, aplicaciones y servicios. Este enfoque cambia algunas de las tareas de administración disponibles que puede realizar y los privilegios que tiene dentro del dominio administrado. Estas tareas y permisos pueden diferir de lo que experimenta con un entorno de AD DS local normal.

Nota:

No puede conectarse a los controladores de dominio en el dominio administrado por Microsoft Entra Domain Services mediante Escritorio remoto de Microsoft.

Información general

A los miembros del grupo Administradores de controlador de dominio de AAD se les conceden privilegios en el dominio administrado por Microsoft Entra Domain Services. Como resultado, estos administradores pueden realizar las tareas siguientes en el dominio:

  • Configurar el GPO integrado para los contenedores Equipos de AADDC y Usuarios de AADDC en el dominio administrado.
  • Administrar DNS en el dominio administrado.
  • Crear y administrar unidades organizativas personalizadas en el dominio administrado.
  • Obtener acceso administrativo a los equipos unidos al dominio administrado.

Sin embargo, dado que el dominio administrado por Microsoft Entra Domain Services está bloqueado, no tiene privilegios para completar determinadas tareas administrativas en él. Algunos de los ejemplos siguientes son tareas que no puede realizar:

  • Extender el esquema del dominio administrado.
  • Conectarse a los controladores de dominio para el dominio administrado mediante Escritorio remoto.
  • Agregar controladores de dominio al dominio administrado.
  • Emplear privilegios de Administrador de dominio ni de Administrador de empresa para el dominio administrado.

Después de crear una instancia de Microsoft Entra Domain Services, debe unir un equipo a un dominio administrado por Microsoft Entra Domain Services. Este equipo está conectado a una red virtual de Azure que proporciona conectividad con el dominio administrado por Microsoft Entra Domain Services. El proceso para unir a un dominio administrado por Microsoft Entra Domain Services es el mismo que para unir a un dominio de AD DS local normal. Una vez unido el equipo, debe instalar las herramientas para administrar la instancia de Microsoft Entra Domain Services.

Sugerencia

Para conectarse de forma segura al equipo, puede sopesar el uso de un host de Azure Bastion. Con Azure Bastion, se implementa un host administrado en la red virtual, y se proporcionan conexiones de Protocolo de escritorio remoto (RDP) o Secure Shell (SSH) basadas en web a las máquinas virtuales. No se requieren direcciones IP públicas para las máquinas virtuales y no es necesario abrir reglas de grupo de seguridad de red para el tráfico remoto externo. Las máquinas virtuales se conectan mediante Azure Portal.

Los dominios de Microsoft Entra Domain Services se administran mediante las mismas herramientas administrativas que los entornos de AD DS en el entorno local, como el Centro de administración de Active Directory (ADAC) o PowerShell de Active Directory. Puede instalar estas herramientas como parte de la característica Herramientas de administración remota del servidor (RSAT) en Windows Server y en los equipos cliente. Los miembros del grupo Administradores del controlador de dominio de AAD pueden administrar los dominios administrados por Microsoft Entra Domain Services de forma remota mediante estas herramientas administrativas de Active Directory desde un equipo que se haya unido al dominio administrado.

Hay disponibles acciones comunes de ADAC, como son el restablecimiento de la contraseña de una cuenta de usuario o la administración de la pertenencia a grupos. Sin embargo, estas acciones solo funcionan para los usuarios y grupos creados directamente en el dominio administrado por Microsoft Entra Domain Services. La información de identidad solo se sincroniza de Microsoft Entra ID a Microsoft Entra Domain Services; no hay ninguna reescritura de Microsoft Entra Domain Services a Microsoft Entra ID. Como consecuencia de esto, no se pueden cambiar las contraseñas ni la pertenencia a grupos administrados de los usuarios sincronizados desde Microsoft Entra ID y volver a sincronizar estos cambios.

También puede usar el módulo de Active Directory para Windows PowerShell, instalado como parte de las herramientas administrativas, para administrar acciones comunes en el dominio administrado por Microsoft Entra Domain Services.

Habilitar cuentas de usuario para Microsoft Entra Domain Services

Microsoft Entra Domain Services necesita los valores hash de las contraseñas en un formato adecuado para la autenticación de NTLM y Kerberos para poder autenticar a los usuarios en el dominio administrado. A menos que habilite Microsoft Entra Domain Services para el inquilino, Microsoft Entra ID no genera ni almacena los valores hash de las contraseñas en el formato necesario para la autenticación NTLM o Kerberos. Por motivos de seguridad, Microsoft Entra ID tampoco almacena las credenciales de contraseñas en forma de texto sin cifrar. Por consiguiente, Microsoft Entra ID no tiene forma de generar automáticamente estos hash de las contraseñas de NTLM o Kerberos basándose en las credenciales existentes de los usuarios.

Una vez configurados correctamente, los hash de contraseñas que se pueden usar se almacenan en el dominio administrado por Microsoft Entra Domain Services.

Precaución

Si elimina este dominio, también se eliminarán los hash de contraseñas que haya almacenados en ese momento.

No se puede volver a usar la información de credenciales sincronizada en Microsoft Entra ID si posteriormente crea un dominio administrado por Microsoft Entra Domain Services. Como resultado, debe volver a configurar la sincronización de hash de contraseñas para volver a almacenar los hash de contraseñas. Incluso en ese caso, los usuarios o las máquinas virtuales previamente unidos a un dominio no podrán autenticarse de inmediato, ya que Microsoft Entra ID debe generar y almacenar los hash de contraseñas en el nuevo dominio administrado por Microsoft Entra Domain Services.

Los pasos necesarios para generar y almacenar estos hash de contraseña son diferentes según se trate de cuentas de usuario solo de nube creadas en Microsoft Entra o de las cuentas de usuarios que se sincronizan desde el directorio local mediante Microsoft Entra Connect. Una cuenta de usuario solo en la nube es una cuenta que se crea en el directorio de Microsoft Entra con los cmdlets de Azure Portal o de PowerShell de Microsoft Graph. Estas cuentas de usuario no se sincronizan desde un directorio local.

En el caso de las cuentas de usuario solo de nube, los usuarios deben cambiar sus contraseñas para poder usar Microsoft Entra Domain Services. Este proceso de cambio de contraseña hace que los valores hash de contraseñas para la autenticación Kerberos y NTLM se generen y almacenen en Microsoft Entra ID. La cuenta no se sincroniza desde Microsoft Entra ID a Microsoft Entra Domain Services hasta que se cambia la contraseña. Como resultado, debe hacer expirar las contraseñas de todos los usuarios en la nube del inquilino que tenga que usar Microsoft Entra Domain Services, lo que fuerza un cambio de contraseña en el inicio de sesión siguiente, o bien indicarles que cambien sus contraseñas de forma manual. Sin embargo, es posible que deba habilitar el autoservicio de restablecimiento de contraseña para que los usuarios en la nube restablezcan su contraseña.